有关 Azure 信息保护经典客户端的常见问题解答

适用于:Azure信息保护、Office 365

相关:仅 AIP 统一标记经典客户端。 有关详细信息,请参阅 Azure 信息保护的常见问题解答

注意

为了提供统一且简化的客户体验,Azure 门户中的Azure信息保护经典客户端和标签管理在2021年 3 月 31 日已弃用。 不再提供对经典客户端的进一步支持,并且将不再发布维护版本。

经典客户端将于 2022 年 3 月 31 日正式停用并停止运行。

所有当前的 Azure 信息保护经典客户端客户必须迁移到统一Microsoft 信息保护平台,并升级到统一标签客户端。 在迁移博客 中了解更多信息

Azure 信息保护客户端是否仅适用于包含分类和标签的订阅?

不。 经典 AIP 客户端还可以与仅包含 Azure Rights Management 服务的订阅一起使用,仅用于数据保护。

在未安装 Azure 信息保护策略的情况下安装经典客户端时,客户端会自动在仅保护模式下运行,使用户能够应用权限管理模板和自定义权限。

如果以后购买包含分类和标签的订阅,客户端会在下载 Azure 信息保护策略时自动切换到标准模式。

服务器 FCI Windows Azure 信息保护扫描程序之间有什么区别?

Windows服务器文件分类基础结构一直以来都是一个选项,用于对文档进行分类,然后使用权限管理连接器 (Office文档(仅) 或PowerShell脚本 (所有文件类型)) 。

现在建议使用 Azure 信息保护 扫描程序。 扫描程序使用 Azure 信息保护客户端和 Azure 信息保护策略来标记所有文件类型 (文档) 以便这些文档分类并选择性地受到保护。

这两种解决方案之间的主要差异:

Windows服务器 FCI Azure 信息保护扫描程序
支持的数据存储 Windows 服务器上的本地文件夹 - Windows文件共享和网络附加存储

- SharePoint Server 2016 和 SharePoint Server 2013。 SharePoint此版本的扩展支持的客户也支持SharePoint。
操作模式 实时 对数据存储进行一次或重复的系统性爬网
支持的文件类型 - 默认情况下,所有文件类型都受保护

- 可以通过编辑注册表将特定文件类型排除在保护之外
对文件类型的支持:

- Office文件类型和 PDF 文档在默认情况下受到保护

- 可以通过编辑注册表来包括其他文件类型进行保护

设置权限管理所有者

默认情况下,对于 Windows 服务器 FCI 和 Azure 信息保护扫描程序,权限管理所有者将设置为保护文件的帐户。

重写默认设置,如下所示:

  • Windows服务器 FCI:将权限管理所有者设置为所有文件的单个帐户,或动态设置每个文件的权利管理所有者。

    若要动态设置权限管理所有者,请使用 -OwnerMail [源文件所有者电子邮件] 参数和值。 此配置通过使用文件的 Owner 属性中的用户帐户名称从 Active Directory 检索用户的电子邮件地址。

  • Azure 信息保护扫描程序:对于新受保护的文件,通过指定扫描程序配置文件中的 -Default 所有者设置,将权限管理所有者设置为指定数据存储上所有文件的单个帐户。

    不支持动态设置每个文件的权利管理所有者,并且以前受保护的文件不会更改权限管理所有者。

    注意

    当扫描程序保护SharePoint和库中的文件时,Rights Management 所有者会使用"编辑者"SharePoint动态设置。

文件可以具有多个分类吗?

用户一次只能为每个文档或电子邮件选择一个标签,这通常只会导致一个分类。 但是,如果用户选择子标签,实际上会同时应用两个标签;主标签和辅助标签。 通过使用子标记,文件可以有两种分类,用于表示其他控制级别的父\子关系。

例如,标签"机密"可能包含子标签,例如"法律"和"财务"。 可以将不同的分类视觉标记和不同的权限管理模板应用于这些子标记。 用户无法自行选择"机密"标签;仅其子标记之一,如"法律"。 因此,他们看到集的标签是"机密\法律"。 该文件的元数据包括一个"机密"自定义文本属性、一个适用于"法律"的自定义文本属性,以及另一个包含"机密法律" () 。

使用子标签时,不要在主标签上配置视觉标记、保护和条件。 使用子级别时,请仅在子标记上配置这些设置。 如果在主标签及其子标签上配置这些设置,则子标签中的设置优先。

如何防止某人删除或更改标签?

虽然有一 个策略 设置要求用户说明他们为什么降低分类标签、删除标签或删除保护,但此设置不会阻止这些操作。 为了防止用户删除或更改标签,内容必须已经受到保护,保护权限不会授予用户导出或完全控制 使用权限

DLP 解决方案和其他应用程序如何与 Azure 信息保护集成?

由于 Azure 信息保护使用持久性元数据(包括纯文本标签)进行分类,DLP 解决方案和其他应用程序可以读取此信息。

有关此元数据的信息,请参阅 电子邮件和文档中存储的标签信息

有关通过邮件流规则Exchange Online元数据的示例,请参阅为 Azure Exchange Online标签 配置邮件流规则

能否创建自动包含分类的文档模板?

是的。 可以将标签配置为应用包含标签名称 的页 眉或页脚。 但是,如果不符合要求,则仅对于 Azure 信息保护经典客户端,可以创建具有所需格式的文档模板,并添加分类作为域代码。

例如,文档标题中可能有一个显示分类的表。 或者,对引用文档分类的简介使用特定措辞。

若要在文档中添加此域代码,请执行:

  1. 标记文档并保存。 此操作将创建现在可用于域代码的新元数据字段。

  2. 在文档中,将光标置于要添加标签分类的位置,然后从"插入"选项卡中选择"文本文档部件域"。

  3. 在""对话框中的"类别"下拉列表中,选择"文档信息"。 然后,从"字段名称"下拉列表中选择"DocProperty"。

  4. 从"属性"下拉列表中,选择"敏感度",然后选择"确定"。

当前标签的分类显示在文档中,每当打开文档或使用模板时,此值都会自动刷新。 因此,如果标签发生更改,则此域代码显示的分类会在文档中自动更新。

使用 Azure 信息保护的电子邮件分类与邮件分类Exchange分类?

Exchange分类是一项可以分类电子邮件的较旧功能,它独立于应用分类的 Azure 信息保护标签或敏感度标签实现。

但是,你可以将这个较旧的功能与标签集成,以便当用户使用 Outlook 网页版 和某些移动邮件应用程序对电子邮件进行分类时,会自动添加标签分类和相应的标签标记。

可以使用相同的技术将标签用于Outlook 网页版和这些移动邮件应用程序。

请注意,如果将 Outlook 网页版 与 Exchange Online 结合使用,则无需这样做,因为从 Microsoft 365 合规中心 发布敏感度标签时,此组合支持内置Microsoft 365 合规中心。

如果无法将内置标签与Outlook 网页版,请参阅此解决方法的配置步骤:与旧式消息Exchange集成

如何将 Mac 计算机配置为保护和跟踪文档?

首先,请确保已使用 中的Office for Mac安装链接来 https://admin.microsoft.com 安装。 有关完整说明,请参阅在电脑或 Mac Microsoft 365或Office 2019下载并安装或重新安装。

打开Outlook,然后使用工作或学校Microsoft 365创建配置文件。 然后,创建新消息并执行以下操作来配置Office以便它可以使用 Azure Rights Management 服务保护文档和电子邮件:

  1. 在新邮件中的"选项"选项卡上,单击"权限",然后单击"验证凭据"。

  2. 出现提示时,请Microsoft 365工作或学校帐户详细信息,然后选择"登录"。

    这会下载 Azure Rights Management 模板,"验证凭据"现已替换为包含"无限制"、"不转发"和为租户发布的任何 Azure Rights Management 模板的选项。 现在可以取消此新邮件。

若要保护电子邮件或文档:在"选项"选项卡上,单击"权限",然后选择用于保护电子邮件或文档的选项或模板。

若要在保护文档后跟踪文档:在安装了 Azure 信息保护经典客户端的 Windows 计算机上,使用 Office 应用程序或文件资源管理器将文档注册到文档跟踪站点。 有关说明,请参阅 跟踪和撤销文档。 现在,可以使用 Web 浏览器从 Mac 计算机转到文档跟踪站点 () https://track.azurerms.com 跟踪和撤消此文档。

在文档跟踪网站中测试吊销时,看到一条消息,指出用户仍可访问文档最多 30 天 - 此时间段是否可配置?

是的。 此消息反映 该特定 文件的使用许可证。

如果吊销某个文件,则只有在用户向 Azure Rights Management 服务进行身份验证时,才能强制执行该操作。 因此,如果某个文件的使用许可证有效期为 30 天,并且用户已打开该文档,则该用户在使用许可证期间仍有权访问文档。 当使用许可证过期时,用户必须重新进行身份验证,此时用户被拒绝访问,因为文档现已吊销。

保护文档的用户、权限管理颁发者将免除此吊销,并且始终能够访问其文档。

租户使用许可证有效期的默认值为 30 天,可以通过标签或模板中的限制性更强设置覆盖此设置。 有关使用许可证以及如何配置它的信息,请参阅 权限管理使用许可证 文档。

BYOK 和 HYOK 之间有什么区别,我应该何时使用它们?

在 Azure 信息 保护 (BYOK) 创建自己的密钥是在本地为 Azure Rights Management 保护创建自己的密钥时。 然后将该密钥转移到 Azure Key Vault (HSM) 硬件安全模块,继续拥有和管理密钥。 如果未这样做,Azure Rights Management 保护将使用在 Azure 中自动创建和管理的密钥。 在 BYOK 选项中,此默认配置称为"Microsoft 托管" ("客户托管) 。

有关 BYOK 以及是否应该为组织选择此关键拓扑的信息,请参阅规划和实现 Azure 信息保护租户密钥

在 Azure 信息保护 (HYOK) 自己的密钥适用于具有一部分文档或电子邮件的组织,这些组织无法由存储在云中的密钥进行保护。 对于这些组织,即使他们使用 BYOK 创建并管理密钥,此限制也适用。 限制通常是由于法规或合规性原因,HYOK 配置应仅应用于"最高机密"信息,这些信息永远不会在组织外部共享,只会在内部网络上使用,并且不需要从移动设备访问。

对于这些 (通常少于需要保护) 的所有内容的 10%,组织可以使用本地解决方案 Active Directory Rights Management Services 创建保留在本地的密钥。 使用此解决方案,计算机可以从云获取其 Azure 信息保护策略,但可以使用本地密钥保护此标识的内容。

有关 HYOK 以及确保了解其限制和限制以及何时使用它的指导,请参阅保留自己的密钥 (HYOK) AD RMS保护的要求和限制。

如果我的问题不在,该怎么办?

首先,查看下面列出的常见问题,这些问题特定于分类和标签,或者特定于数据保护。 Azure RMS (Azure rights Management) 为 Azure 信息保护提供数据保护技术。 Azure RMS 可以与分类和标签一起使用,也可以自行使用。

如果问题未得到解答,请参阅 Azure 信息保护的信息和支持中列出的 链接和资源

此外,还有专为最终用户设计的常见问题解答: